Cyber-Bedrohungen 2026: Können unsere Stromnetze KI-gesteuerten Angriffen standhalten?

Gunesed Intelligence

CALIBRATING NEURAL ENGINES...

Cyber-Bedrohungen 2026: Können unsere Stromnetze KI-gesteuerten Angriffen standhalten? | Gunesed

Die Lichter flackern für 0,3 Sekunden. Irgendwo in einer kommunalen Wasseraufbereitungsanlage im amerikanischen Mittleren Westen startet ein SCADA-Terminal ohne Vorwarnung neu. Ein Druckventil in einem Erdgasverteilerknotenpunkt in Mitteleuropa registriert einen anomalen Befehl. Keines dieser Ereignisse schafft es in die Abendnachrichten – doch jedes einzelne ist ein Datenpunkt in dem, was Cybersicherheitsanalysten nun als die gefährlichste Konvergenz in der Geschichte der modernen Infrastruktur bezeichnen: die Verbindung von fortschrittlicher Malware mit realen physischen Konsequenzen.

Das ist cyber-physische Kriegsführung. Und nach den meisten Expertenmeinungen ist die kritische Infrastruktur der Welt nicht bereit für das, was 2026 bringen wird.

Die Bedrohungslandschaft hat sich grundlegend verändert

Im Jahr 2024 überstiegen die globalen Kosten der Cyberkriminalität laut Prognosen von Cybersecurity Ventures 9,5 Billionen US-Dollar. Bis 2026 wird dieser Wert voraussichtlich 12 Billionen US-Dollar jährlich überschreiten. Doch die reinen finanziellen Kosten verdecken den alarmierenderen Trend: Angriffe zielen nicht mehr primär auf den Diebstahl von Daten ab. Sie zielen darauf ab, Dinge zu stoppen. Pumpen. Turbinen. Pipelines. Transformatoren.

Der Wendepunkt begann ernsthaft mit dem Angriff auf die Wasseraufbereitungsanlage in Oldsmar, Florida, im Jahr 2021 – bei dem ein Angreifer aus der Ferne die Natriumhydroxidwerte auf das 111-fache des sicheren Schwellenwerts erhöhte, bevor ein Bediener dies bemerkte. Das war ein relativ unsophistizierter Einbruch. Was Forscher im Jahr 2026 dokumentieren, ist kategorisch anders.

CISAs Bedrohungsbewertung für kritische Infrastrukturen 2025 identifizierte einen Anstieg von 340 % bei Malware, die speziell zur gezielten Bekämpfung von Operational Technology (OT) und Industrial Control Systems (ICS) entwickelt wurde, verglichen mit den Ausgangswerten von 2022. Besorgniserregender: Rund 67 % dieser Proben enthielten ruhende Module – Code, der monatelang still in Systemen verweilt, bevor er aktiviert wird.

Wie Malware im Jahr 2026 tatsächlich aussieht

Die neue Generation cyber-physischer Waffen weist mehrere Merkmale auf, die sie qualitativ von ihren Vorgängern unterscheiden:

KI-gestützte laterale Bewegung: Moderne Stämme verwenden in der Nutzlast selbst eingebettete Mikro-Modelle des maschinellen Lernens, um die OT-Netzwerktopologie abzubilden, ohne Schwellenwerte für die Anomalieerkennung auszulösen.
Protokoll-bewusste Ausnutzung: Im Gegensatz zu älterer Malware, die IT-Netzwerke stumpf angriff, sprechen Tools der Ära 2026 native ICS-Sprachen – Modbus, DNP3, IEC 61850 – und ermöglichen es ihnen, plausibel aussehende Befehle zu erteilen, die für Ingenieure legitim erscheinen.
Physik-Modell-Täuschung: Einige Advanced Persistent Threat (APT)-Gruppen, insbesondere solche, die mit staatlich unterstützten Akteuren in Osteuropa und Ostasien verbunden sind, haben damit begonnen, Malware einzusetzen, die das physikalische Verhalten des Zielsystems modelliert – so dass Sensormesswerte, die den Bedienern zugeführt werden, normal erscheinen, selbst wenn die zugrunde liegenden Parameter gefährlich abweichen.

„Was wir sehen, ist Malware, die Ingenieurwesen versteht“, sagt Dr. Renata Hovsepyan, eine ehemalige NATO-Cyberverteidigungsberaterin und aktuelle Senior Researcher bei Dragos Inc. „Sie kompromittiert nicht einfach ein System. Sie lernt den Rhythmus dieses Systems und nutzt dann die Physik aus.“

Stromnetze: Die am stärksten exponierte Grenze

Das nordamerikanische Hochspannungsnetz erstreckt sich über rund 450.000 Meilen Hochspannungsleitungen und wird von einem Flickenteppich aus über 3.000 Versorgungsunternehmen verwaltet – viele davon ländliche Genossenschaften, die auf jahrzehntealten SCADA-Altsystemen betrieben werden, die nie für Internetkonnektivität ausgelegt waren.

Laut dem North American Electric Reliability Corporation (NERC) 2025 State of Reliability Report haben etwa 58 % der mittelgroßen Versorgungsunternehmen die vollständige OT-Netzwerksegmentierung von ihren IT-Umgebungen noch nicht abgeschlossen. Das bedeutet, dass eine einzige Phishing-E-Mail an einen Büroleiter unter den richtigen Bedingungen als Vektor in ein Umspannwerk-Kontrollsystem dienen kann.

Die Volt Typhoon-Kampagne – erstmals 2023 öffentlich chinesischen Staatsakteuren zugeschrieben – demonstrierte genau diesen Weg. Bis 2025 ergaben nachfolgende Untersuchungen, dass die Gruppe in mindestens 23 US-Versorgungsnetzen für Zeiträume von 8 bis 26 Monaten unentdeckt persistenten Zugriff aufrechterhalten hatte.

Das Risiko für 2026 ist nicht nur Störung. Es ist eine synchronisierte Störung. Ein gleichzeitiger Angriff auf 9 kritische Übertragungsunterstationen könnte laut einer FERC-Analyse von 2022, die heute noch gültig ist, kaskadierende Stromausfälle verursachen, die 70 % des kontinentalen US-Gebiets für bis zu 18 Monate betreffen – ein Zeitrahmen, der nicht durch die Schwierigkeit der Reparatur, sondern durch die Lieferzeit von 12 bis 18 Monaten für den Ersatz von Hochspannungstransformatoren bestimmt wird, von denen die meisten in Deutschland, Südkorea und Indien hergestellt werden.

Wassersysteme: Chronisch unterfinanziert, chronisch exponiert

Wenn Stromnetze das Schlagzeilenrisiko sind, sind Wassersysteme die leise Katastrophe in der Mache.

Allein die USA verfügen über etwa 148.000 öffentliche Wassersysteme, von denen die EPA schätzt, dass 70 % weniger als 10.000 Menschen versorgen. Diese kleinen Systeme arbeiten typischerweise mit jährlichen Cybersicherheitsbudgets unter 50.000 US-Dollar – in vielen Fällen ohne dediziertes Cybersicherheitspersonal. Die Technologie zur Steuerung von Chlorierung, Filtration und Druckmanagement in diesen Anlagen läuft oft auf ungepatchten Windows 7-Systemen oder proprietären Steuerungen ohne Herstellerunterstützung.

Eine 2025 gemeinsam von der EPA und CISA veröffentlichte Cybersicherheits-Risikobewertung für den Wassersektor ergab, dass 1 von 5 befragten Wasserversorgern in den letzten 24 Monaten mindestens ein unbefugtes Zugriffsereignis erlebt hatte. Von diesen konnten 43 % nicht bestätigen, ob der Eindringling ihre Betriebssysteme erreicht hatte.

„Dem Wassersektor wird seit fünfzehn Jahren gesagt, dass er modernisieren muss“, bemerkt Marcus Treviño, Direktor für Infrastrukturresilienz bei der Water Research Foundation. „Doch wenn Ihr jährliches Betriebsbudget 2 Millionen Dollar beträgt und Sie ein System für 8.000 Menschen verwalten, konkurriert Cybersicherheit mit dem Austausch einer kaputten Pumpe.“

Was Verteidiger tatsächlich tun – und wo die Lücken bleiben

Fortschritte gibt es, aber sie sind ungleichmäßig und im Verhältnis zur Bedrohungsentwicklung unterfinanziert.

Positiv zu vermerken ist:

CISAs Initiative Shields Up wurde um eine obligatorische OT-spezifische Meldepflicht für Vorfälle für 16 kritische Infrastruktursektoren gemäß dem Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) von 2024 erweitert.
Industrielle Cybersicherheitsfirmen wie Dragos, Claroty und Nozomi Networks melden ein jährliches Wachstum von 35-40 % bei den OT-Monitoring-Implementierungen, was eine beschleunigte Akzeptanz signalisiert.
Die NIS2-Richtlinie der EU, die seit Oktober 2024 vollständig in Kraft ist, schreibt eine 24-Stunden-Meldepflicht für Vorfälle und Lieferkettensicherheitsbewertungen für Betreiber wesentlicher Dienste in allen 27 Mitgliedstaaten vor.

Doch die Lücken sind strukturell:

Rund 82 % der Betreiber kritischer Infrastrukturen weltweit verlassen sich immer noch auf Air-Gap-Annahmen, die Sicherheitsexperten wiederholt als unzureichend gegen ausgeklügelte Insider und Lieferkettenkompromittierungen erwiesen haben.
Der weltweite Mangel an auf OT spezialisierten Cybersicherheitsexperten wird von (ISC)² auf über 200.000 Stellen geschätzt – eine Lücke, die KI-gestützte Verteidigungstools nur teilweise kompensieren.
Firmware-Implantate, die zunehmend in Routern und PLCs spezifischer asiatischer Hersteller dokumentiert werden, stellen einen Bedrohungsvektor dar, den weder Netzwerküberwachung noch Verhaltensanalyse zuverlässig erkennen.

Die geopolitische Dimension

Es wäre ein Fehler, dies als rein technisches Problem zu betrachten. Cyber-physische Angriffe auf Infrastruktur sind Instrumente der Staatskunst. Russlands Angriffe auf das ukrainische Stromnetz in den Jahren 2015 und 2016 – die 230.000 Kunden ohne Strom ließen – waren ebenso operative Machbarkeitsnachweise wie Sabotageakte. Die im April 2022 eingesetzte Industroyer2-Malware war noch ausgeklügelter.

Da die geopolitischen Spannungen um Taiwan, die baltischen Staaten und das Südchinesische Meer bis ins Jahr 2026 hoch bleiben, haben westliche Geheimdienste explizit erklärt: Gegner positionieren sich vorab in kritischen Infrastrukturnetzwerken, um gezielt Druckmittel zu schaffen oder schnelle, großflächige Störungen im Falle eines kinetischen Konflikts zu ermöglichen.

Die Frage ist nicht, ob Angriffe versucht werden. Sie werden bereits kontinuierlich durchgeführt. Die Frage ist, ob Verteidiger die Lücke zwischen Intrusion und Erkennung sowie zwischen Erkennung und Konsequenz schnell genug schließen können, um relevant zu sein.

FAQ

Was ist cyber-physische Kriegsführung und wie unterscheidet sie sich von traditionellen Cyberangriffen?

Cyber-physische Kriegsführung bezieht sich auf Cyberangriffe, die speziell darauf ausgelegt sind, physische Konsequenzen in der realen Welt zu verursachen – die Stromversorgung, Wasserversorgung, den Transport oder industrielle Prozesse zu stören, anstatt lediglich Daten zu stehlen. Traditionelle Cyberangriffe zielen auf Informationen; cyber-physische Angriffe zielen auf das Verhalten der Infrastruktur ab und nutzen digitalen Zugang, um mechanische, chemische oder elektrische Ergebnisse zu erzielen.

Welche kritischen Infrastruktursektoren sind 2026 am stärksten gefährdet?

Stromnetze und Wasser-/Abwassersysteme werden derzeit aufgrund von Altsystemen, begrenzten Cybersicherheitsbudgets und hohen Störungsfolgen als die größten Risikobereiche eingestuft. Erdgasleitungsnetze und Eisenbahnsysteme werden in CISAs Bedrohungsbewertung 2025 ebenfalls als Sektoren mit erhöhtem Risiko eingestuft.

Halten KI-gestützte Abwehrmaßnahmen mit KI-gestützten Angriffen Schritt?

Nicht konstant. Während KI-gestützte Anomalieerkennungstools die Erkennungsgeschwindigkeit erheblich verbessert haben, nutzen Angreifer eingebettete Mikro-Modelle, um genau diese Erkennungsschwellenwerte zu umgehen. Die Asymmetrie begünstigt kurzfristig die Angreifer, hauptsächlich weil Verteidiger jeden Vektor schützen müssen, während Angreifer nur einen praktikablen Weg finden müssen.

Was können kleinere Versorgungsunternehmen mit begrenzten Budgets tun?

CISA bietet kostenlose Schwachstellenbewertungen und das Framework der Cybersecurity Performance Goals (CPGs) an, das speziell auf ressourcenbeschränkte Betreiber zugeschnitten ist. Die Priorisierung der OT/IT-Netzwerksegmentierung, das Deaktivieren des Fernzugriffs auf Altsystemen und die Teilnahme an Information Sharing and Analysis Centers (ISACs) sind grundlegende Schritte, die keine großen Kapitalausgaben erfordern.

Funktioniert die internationale Zusammenarbeit beim Schutz kritischer Infrastrukturen?

Teilweise. Der NIS2-Rahmen der EU stellt einen bedeutenden Fortschritt bei der regulatorischen Harmonisierung dar. Die globale Koordination bleibt jedoch fragmentiert – insbesondere zwischen westlichen Nationen und nicht-verbündeten Staaten, deren Infrastruktur als Transitpunkte für Angriffsinfrastruktur dienen könnte. Bislang hat kein verbindlicher internationaler Vertrag, der speziell Angriffe auf zivile kritische Infrastrukturen regelt, eine breite Ratifizierung erreicht.